Le CSA introduit trois niveaux d’assurance – ‘élémentaire’, ‘substantiel’ et ‘élevé’ – en matière de certification de cybersécurité pour les produits, services et processus TIC, allant des cas à moindre risque aux cas à risque plus important. Dans le même contexte, l’Agence de l'Union européenne pour la cybersécurité (ENISA), a la tâche de rédiger des schémas de certification portant sur des sujets spécifiques et couvrant un ou plusieurs de ces niveaux d’assurance. Par ailleurs, fait important, les certificats de cybersécurité européens obtenus dans le cadre du CSA sont automatiquement reconnus dans l’ensemble des Etats membres de l’UE. Le projet CORAL vise à faciliter la certification au niveau élémentaire des acteurs du marché dans le cadre d’un schéma européen de certification de cybersécurité.
CORAL est un projet cofinancé par le programme « Connecting Europe Facility » de l’Union européenne, ayant été mené par trois partenaires au Luxembourg, la Luxembourg House of Cybersecurity (LHC), l’ILNAS et l’ANEC GIE (clôturé le 31 octobre 2023). Le projet CORAL (« cybersecurity Certification based On Risk evALuation and treatment ») vise à adresser la certification, dans le cadre d’un schéma européen de certification de cybersécurité, au niveau ‘élémentaire’ et est, à notre connaissance, le premier projet européen au Luxembourg à traiter ce sujet. Il a pour objectif de développer une boîte à outils pour aider à rendre la certification européenne de cybersécurité concrètement réalisable pour les acteurs du marché dans des cas d’utilisation à faible risque. Il s’adresse en priorité aux organisations disposant de ressources limitées à dédier à la cybersécurité.
Dans ce cadre, CORAL se positionne comme une méthodologie accompagnant la certification de cybersécurité pour des schémas européens qui couvrent le niveau d’assurance élémentaire. Il suggère une approche et propose des outils basés sur des critères officiels existants pour évaluer la maturité en cybersécurité d’un produit, service, ou processus TIC. S’appuyant sur cette évaluation, une organisation peut se porter candidate à une certification de cybersécurité, pour un produit, service, ou processus, dans le cadre du CSA au niveau d’assurance ‘élémentaire’, à partir du moment où les schémas de certification intégrant ce niveau ont officiellement été adoptés par l’Union européenne. Actuellement, deux projets de schémas existent (ils seront effectifs, à terme, par l’adoption des actes d’exécution ad hoc par la Commission européenne) :
- L’EUCC, portant sur les produits TIC en général, aux niveaux ‘substantiel’ et ‘élevé’. L’EUCC ne précise pas de niveau d’assurance ‘élémentaire’ et n’est par conséquent pas dans la portée de CORAL ;
- L’EUCS, portant sur les services d’informatique en nuage, ou « cloud », aux niveaux ‘élémentaire’, ‘substantiel’, et ‘élevé’. La présence du niveau ‘élémentaire’ place ce schéma dans la portée de CORAL.
Les outils développés dans le cadre du projet CORAL, composés d’un ensemble de questionnaires ainsi que d’une procédure globale, s’adressent à deux catégories principales d’utilisateurs :
- Les petites et moyennes entreprises (PME) qui souhaitent évaluer la maturité en cybersécurité du produit, service ou processus qu’elles proposent, éventuellement dans l’optique d’obtenir une certification au niveau ‘élémentaire’ ;
- Les auditeurs travaillant pour le compte d’organismes d’évaluation de la conformité compétents pour la délivrance de certificats en regard des schémas CSA décrits précédemment, et qui peuvent réaliser un audit basé sur les réponses fournies à travers les questionnaires de l’outil.
Les questionnaires de CORAL ont été élaborés à partir de sources bien établies en matière de sécurité de l’information : normes internationales ou européennes, bonnes pratiques internationalement reconnues, projets de schémas européens de certification de cybersécurité. Ainsi, la méthodologie CORAL dispose d’une flexibilité suffisante pour s’aligner aux schémas CSA existants et à venir. Quant au profil auditeur proposé par CORAL - qui propose une base pour les compétences dont doivent disposer les auditeurs amenés à délivrer des certificats de cybersécurité européens - il est ancré dans la « Cybersecurity Skills Framework » de l’ENISA.
L’outil CORAL est disponible sur une plateforme dédiée. L’ensemble des parties intéressées sont invitées à le tester et à partager leur avis, contribuant ainsi à l’amélioration continue du projet. Tout commentaire relatif à CORAL et à ses outils peut être envoyé à l’adresse coral@lhc.lu.
L'ensemble des livrables du projet peut être consulté sur le site dédié.
A noter qu’au Luxembourg, l’ILNAS a été nommé « National Cybersecurity Certification Authority » en charge des activités de supervision. Toute demande portant sur le CSA en général peut être envoyée à l’adresse électronique supervision-cybersecurite@ilnas.etat.lu. L’ILNAS est également l’organisme national de normalisation pour le Luxembourg, avec lequel tout acteur du marché peut prendre contact via normalisation@ilnas.etat.lu pour s’impliquer dans des activités de normalisation, par exemple en relation avec les normes techniques en soutien au CSA. Enfin, la LHC est l’agence nationale en matière de cybersécurité pour l’économie et les municipalités au Luxembourg, et offre aussi des outils « open-source » et des bonnes pratiques générales en matière d’évaluation de la maturité en cybersécurité pour les PME.
CORAL en vidéo
Les partenaires présentent le projet
La normalisation en Cybersécurité en soutien au CSA